آگوست 23, 2019 توسط همیار 0

تروجان علمی-آموزشی

مطالبی که در ادامه در مورد موضوع جدید “” می خوانید برگرفته از مطالعات و بررسی های “همیار امنیت/سکیوریتی هلپر” است. نقد و بررسی بیشتر موضوع و نیز قوت و ضعف این مطالب بعهده خواننده است.

در برخی حوزه های علمی بخصوص حوزه امنیت، وقتی طراح یا سازنده ای محصول نرم افزاری یا سخت افزاری خود را ارائه می کند و روانه بازار می شود، ترجیحاً به منظور داشتن بازار بهتر، مزیت ها و استحکام آن را بطور برجسته ای به مشتری خوراک می دهد. چه بسا ممکن است معایبی که برای طراح یا سازنده شناخته شده باشد و برای مشتری ناشناخته، بیان نشود. طراح و سازنده برای ماندن در میدان رقابت بازار، همواره فیدبک کاربران را رصد می کند و در صورتی که ضعفی در محصول آشکار شد و یا احتمال آشکار شدن ضعف بالا رفت در سدد به اصطلاح بهبود، Update و یا Upgrade آن بر می آید. از جمله مثال های نسبی انقضای DES و ارائه AES است. در مورد آشکار شدن ضعف های نرم افزارهای کاربردی، سخت افزارها و نرم افزارهای امنیتی مثال های دیگری نیز وجود دارد ( از جمله ضعف امنیتی نرم افزار winrar و کیف پول های دیجیتال). درب پشتی ها خواسته یا شاید ناخواسته وجود دارند اما زمان تغییر هنگامی است که افرادی غیر از طراح/سازنده به آشکارسازی آن نزدیک شوند. این باگ (ناخواسته) یا درب پشتی (خواسته) یا تحلیل و شکست وجود دارد که هم می توان بادید مثبت نگریست و هم با دید منفی.

نکته اینجاست که وقتی در موضع استفاده کننده یا فروشنده واسط هستیم و انتخاب و پیشنهادمان مبتنی برمشخصاتی است که طراح/سازنده ارائه کرده است الزام به استفاده از مراجع موجود خواهیم بود. و تا اینکه مصرف کننده باشیم مراجع خوراک را باید پذیرفت. این مراجع می توانند کتاب ها و گزارشات رسمی باشند یا بلندگویی که در اختیار آموزش دهنده قرار گرفته است! اگر تروجان های سخت افزاری و نرم افزاری را به عنوان مثال ذکر کنیم دور از ذهن نخواهد بود. تروجان های علمی می توانند مطالب اقناع کننده ای به منظور تعیین جهت علمی، ابهام، سردرگمی، ایجاد حمله در آتی و … با اهداف خاص باشند. قوت تروجان علمی را می توان در اشاره ای که سایت infosecurity به موضوع “ورود حمله کنندگان سایبری به مبحث آموزش” داشته است، بطور واضح تری مشاهده کرد. پس آموزش ها و مراجع نیز می توانند آلوده به جهت دهی های امنیتی از پیش تعیین شده ای باشند که همیار امنیت اصطلاح جدید “تروجان علمی” یا “تروجان آموزشی” را برای این نوع دستکاری ها و جهت دهی های بدخواهانه علمی در نظر گرفته است (Scientific-educational malwares or Scientific-educational Trojans).

این مبحث ادامه دارد …